安全密鑰為您的在線帳戶提供額外的保護層,但部分人不想使用因為每個密鑰需要支付高達
20到50美元的費用。因此谷歌在運行Android 7.0+的手機中構建了免費版。
安全密鑰的工作原理
安全密鑰可以阻止複雜的網絡釣魚攻擊,從而保護您的帳戶,但每個密鑰需要支付20到50美元。這是該技術尚未被廣泛採用的一個重要原因,但谷歌希望通過讓您的Android手機充當安全密鑰來改變這一現狀。
週三,谷歌開始為擁有運行Android 7.0及更高版本的智能手機的用戶提供該服務。內置安全密鑰的功能類似於基於硬件的安全密鑰,但它是免費的。
使用此功能時,當您在PC上輸入密碼登陸賬戶時,將向手機發送通知,系統會要求您確認是否要登錄,擁有此功能的Android手機將通過藍牙向PC簽署身份驗證請求,解鎖並登陸您的帳戶。對於那些在PC上登錄Google帳戶時就已經使用雙重身份驗證的用戶,此過程也會非常簡單。
額外的安全層旨在確保只有您可以登錄到您的帳戶。目前,該技術僅適用於Google和G Suite帳戶。它還需要支持藍牙和Chrome瀏覽器的PC。但Google的目標是將此技術引入其他瀏覽器,包括Firefox和Safari,以及第三方網站。
試圖消滅密碼
Google產品經理Christiaan Brand表示:“我們希望儘可能廣泛地使用這項技術”。Google的解決方案使用的是FIDO 2標準,其工作方式類似於物理安全密鑰; 您的手機將存儲加密密鑰,可用於簽署身份驗證請求,以解鎖指定的在線帳戶。
該解決方案抵禦網絡釣魚的原因是:安全密鑰永遠不會通過互聯網傳輸您的加密密鑰。該技術僅簽署來自官方帳戶提供商的身份驗證請求。因此,即使是類似黑客技術那樣的釣魚網頁也無法獲取安全密鑰。
為什麼谷歌選擇Android 7.0及以上
因為操作系統版本需要使用所謂的可信執行環境(TEE),這是手機處理器的一個隔離區域。通過TEE,手機可以存儲和處理您最機密的信息,例如加密的指紋數據,並且這些信息是不會離開用戶手機的。
Brand表示,在大多數情況下,Google的內置安全密鑰將利用TEE存儲加密密鑰信息。另一方面,該公司的Pixel 3設備將加密密鑰存儲在谷歌定製的Titan安全芯片中,該安全芯片也與手機的主處理器分開。
目前,您只能使用一部Android手機充當您的物理安全密鑰; 如果您有新手機,則必須退出舊手機並在新手機上進行設置(很好奇萬一舊手機掉了或者壞了怎麼辦,你對此有什麼看法?)。
你應該相信Google嗎?
有些人可能對谷歌的最新安全解決方案持懷疑態度。畢竟,該公司的Android操作系統並未免受惡意軟件威脅或危險的軟件漏洞攻擊。但谷歌產品經理表示如果要讓這些軟件實際訪問你的手機則必須讓內置安全密鑰解決方案妥協,如果發生這種情況,無論如何你都會遇到麻煩。
“這裡的重點是網絡釣魚問題已經得到解決,”布蘭德表示,“第二個問題可能是:’比如,現在我有一個插入電纜的攻擊者,並且對Android 7.0攻擊,我們可以將手機的文件從閃存驅動器中取出。’’
谷歌產品管理總監Sam Srinivas補充說:“太多人繼續使用密碼來保護他們的帳戶,真正的威脅是坐在3000英里以外的人,他向你發送了一個虛假的登錄頁面。這就是我們真正要防範的:
遠程攻擊,這真的是明確而現實的危險,”但是許多其他網站,如銀行的網站,仍然不提供安全密鑰保護。一些網站只提供雙重身份驗證系統,通過SMS生成一次性密碼,在某些情況下也可能不安全。但Srinivas表示,他希望谷歌的內置安全密鑰解決方案最終成為整個行業的標準。
我為什麼要使用安全密鑰?
該解決方案代表了對現有雙重身份驗證(2FA)系統的重大升級,谷歌和許多頂級互聯網公司已經提供這些系統。2FA通常要求您輸入密碼和特殊的一次性密碼,可以通過智能手機通過短信或應用程序生成密碼。因此,如果您的密碼被猜到或被盜,黑客仍然無法入侵。
不幸的是,2FA並不完美。黑客已經表明他們可以通過官方網絡釣魚電子郵件欺騙受害者交出一次性密碼。
安全密鑰,它的工作方式類似於雙重身份驗證,但是是通過物理設備交換一次性密碼,攻擊者必須通過該密碼來訪問您的帳戶。包括Google,Facebook,Twitter和Dropbox在內的公司都為其帳戶提供安全密鑰保護。
Google非常喜歡這個解決方案,2017年它決定為所有員工提供安全密鑰。從那時起,他們沒有遇到與工作相關的賬戶被攻擊。去年,谷歌也開始以50美元的價格銷售自己的“Titan”安全密鑰產品。
但是,儘管有Titan,谷歌的商業客戶一直在尋求一種方法,將安全關鍵技術帶給更多自己的員工。作為回應,Google公司選擇了智能手機,因為大多數人都會隨身攜帶智能手機。
要使用內置安全密鑰完全保護您的Google帳戶,您需要進入安全設置並刪除已啟用的任何其他雙重身份驗證(例如短信一次性密碼,Google提示)。但是現在谷歌的內置安全密鑰目前僅適用於具有藍牙功能的Windows 10,macOS和Chrome OS設備。
對此你怎麼看?就像上文所說要是手機丟了或壞了那該怎麼辦?你有用過雙重身份驗證嗎?你能預測一下雙重身份驗證和安全密鑰未來趨勢嗎?你覺得安全密鑰和雙重身份驗證有什麼弊端?留下你的看法,我們一起討論!
每個人都有各自的不同的看法和意見,讓我們保持友好的態度,保持實際而不是意識形態。
閱讀更多 Tech家 的文章
